Глава
24
Защита
от
подмены
IP-
адресов
Руководство
пользователя
GS-4012F/4024
222
24.1.2
Обзор
функции
инспекции
ARP-
пакетов
Инспекция
ARP-
пакетов
используется
для
отфильтровывания
несанкционированных
пакетов
ARP.
Это
позволяет
предотвратить
многие
виды
атак
класса
«man-in-the-
middle»,
таких
как
описанная
в
следующем
примере
.
Рисунок
99
Пример
:
атака
«Man-in-the-middle»
В
данном
примере
компьютер
B
пытается
установить
соединение
с
компьютером
A
.
Компьютер
X
находится
в
том
же
широковещательном
домене
,
что
и
компьютер
A
,
и
перехватывает
ARP-
запрос
для
разрешения
адреса
компьютера
A
.
После
этого
компьютер
X
:
•
Выдает
себя
компьютером
A
и
отвечает
компьютеру
B
.
•
Выдает
себя
компьютером
B
и
отправляет
сообщение
компьютеру
A
.
В
результате
весь
обмен
данными
между
компьютером
A
и
компьютером
B
происходит
через
компьютер
X
.
Компьютер
X
получает
возможность
читать
и
изменять
информацию
,
передаваемую
между
этими
двумя
компьютерами
.
24.1.2.1
Инспекция
ARP-
пакетов
и
фильтры
MAC-
адресов
При
обнаружении
коммутатором
несанкционированного
ARP-
пакета
им
автоматически
создается
фильтр
MAC-
адресов
,
блокирующий
трафик
от
MAC-
адреса
и
сети
VLAN,
от
которых
поступил
несанкционированный
ARP-
пакет
.
Период
активности
фильтра
MAC-
адресов
на
коммутаторе
можно
настраивать
.
Такие
фильтры
MAC-
адресов
отличаются
от
обычных
фильтров
MAC-
адресов
(
см
.
•
Они
сохранятся
только
в
энергозависимой
памяти
.
•
В
памяти
они
находятся
в
другой
области
,
не
вместе
с
обычными
фильтрами
MAC-
адресов
.
•
Эти
фильтры
видны
только
на
экранах
и
в
командах
функции
инспекции
ARP-
пакетов
ARP Inspection
,
и
не
видны
на
экранах
и
в
командах
фильтров
MAC-
адресов
MAC Address Filter
.
24.1.2.2
Доверенные
и
не
заслуживающие
доверия
порты
Функция
инспекции
ARP-
пакетов
делит
все
порты
на
доверенные
и
не
заслуживающие
доверия
.
Данная
настройка
не
зависит
от
аналогичной
настройки
доверенных
/
не
заслуживающих
доверия
портов
для
функции
отслеживания
DHCP.
Дополнительно
можно
указать
максимальную
скорость
,
с
которой
коммутатор
будет
принимать
ARP-
пакеты
через
не
заслуживающие
доверия
порты
.
A
X
B